[電子署名法] 事業者型電子契約サービスのQ&Aが更新されました
DX・ペーパーレス周りのネタ(国内)
2024年1本目は、ちょうど昨日デジタル庁と法務省の連名でリリースされた「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A (電子署名法第3条関係)」について触れていきます。
電子契約とは?
その前に、電子契約について簡単に説明する必要があるので軽く触れます。
電子契約とは、文字通り、これまで紙の書面で行ってきた契約行為を、デジタルデータを用いて行うことです。わかりやすく言うと、PDFなどで作成した契約書データの内容に対して、契約当事者が合意をして契約を行うということです。
電子署名法とは?
それを、書面で契約をしたのと同じ効力を持たせようということで2000年(平成12年)に成立した法律が「電子署名法」(正式名称:電子署名及び認証業務に関する法律)という法律です。そこで、どういう条件であれば、その書類が「真正に」(適切なプロセスで)作成されたのか、つまり契約がちゃんと成立したとみなせるのか、ということについて、その条件について規定されています。
そこで、今回論点になっているところは電子署名法3条 という条文です。
以下、条文です。
第三条 電磁的記録であって情報を表すために作成されたもの(公務員が職務上作成したものを除く。)は、当該電磁的記録に記録された情報について本人による電子署名(これを行うために必要な符号及び物件を適正に管理することにより、本人だけが行うことができることとなるものに限る。)が行われているときは、真正に成立したものと推定する。
この条文を見ると、「必要な符号及び物件を適正に管理」 だとか、法律知らないとよくわからないことが書かれています。
これを、わかりやすく言うと、「何かの情報が電子的に記録され、その記録に本人による適切な電子署名がある場合、その情報は本当にその人によって作成されたものと推定される」、ということです。つまり、電子署名があれば、その電子記録は法的に信頼性があるとみなされるわけです。
電子契約における2つの流派:当事者型と事業者型
そして、電子契約サービスには主に2つの流派があります。俗に「当事者型」と「事業者型」といわれるものです。
当事者型
当事者型とは、契約者本人が電子証明書を使用して電子署名を行う方式です。電子のハンコに当たる「電子証明書」は公的な認証機関などで発行され、契約者の本人性を証明します。
メリットとしては、電子証明書自体が本人確認の上作成されているため、本人性が高く、法的効力が強いです。また、なりすましのリスクも低いです。一方デメリットとしては、電子証明書の取得に時間と費用がかかり、電子証明書にも有効期限があるため、定期的な更新が必要です。また、同じプラットフォーム上で契約を締結する必要があるため、相手方の同意も必要です。事業者型
事業者型とは、利用者の署名指示により、電子契約サービス事業者が代理で電子署名を行います。本人確認は電子メールやパスワード、電話認証などを用いて行われます。メリットとしては、手間やコストがかからず、迅速に契約を締結できます。また、電子証明書の発行が不要で、契約相手にも負担が少ないです。ただ、デメリットとしてはその手軽さから、なりすましや不正のリスクがある程度存在し、当事者型に比べて法的効力が弱い可能性があります
3条Q&A登場の背景
そのため、当初は、信頼性の高い電子契約を締結するには本人性の高い契約当事者の電子証明書を用いた「当事者型」一択だと思われていましたが、ここ数年での事業者型電子契約サービスの登場や関係者のロビー活動等により、「こういう要件を満たしていれば、本人により適切に作成された書類であるとみなしますよ」という要件についてQ&Aでまとめました。それが、「利用者の指示に基づきサービス提供事業者自身の署名鍵により暗号化等を行う電子契約サービスに関するQ&A (電子署名法第3条関係)」(令和2年9月4日発行)です。
Q&Aの内容
Q&Aにて定義されている内容は以下の通りです。これにより、事業者型でも要件を満たせば電子署名法3条の要件を満たすということが明確になりました。
Q1. 電子署名法第3条における「本人による電子署名」の定義:
電子署名法第3条では、電子文書における本人(作成名義人)による電子署名が、その電子文書の作成者であることを推定するための基準を設けています。
この規定に従うためには、電子署名が以下の要件を満たす必要があります:
1. 電子文書に電子署名が付されていること。
2. その電子署名が本人の意思に基づいて行われていること。電子署名は、符号や物件を適切に管理し、本人だけが行えるように設計されていなければなりません。これには、暗号化などの技術的措置が含まれ、他人が同一の署名を容易に作成できない「固有性」が必要です。
Q2. 電子契約サービスの電子署名法第3条との関係
電子契約サービスにおいて、サービス提供者が利用者の指示に基づき署名鍵を用いて暗号化する場合、電子署名法第3条の適用には、以下の要件が必要です:
1.サービスが電子署名法第3条に規定される電子署名に該当すること
2.その電子署名が本人の意思に基づいて行われていること。このサービスが固有性の要件を満たすためには、利用者とサービス提供者の間のプロセスが十分なセキュリティと個別性を備えている必要があります。例えば、利用者が2要素認証を受け、サービス提供者が暗号の強度や個別性を担保する仕組みを持つ場合などが該当します。
Q3. 電子契約サービスが電子署名法第3条の電子署名に該当する場合の「適正な管理」の意味
電子署名法第3条の電子署名に該当する場合、必要な符号や物件を適正に管理することが求められます。これは、サービス提供者の署名鍵や利用者のパスワード、サーバー、2要素認証用のスマートフォンやトークンなどの管理を含みます。
Q4. 電子契約サービスを選択する際の留意点
電子署名法第3条の推定効が裁判で認められるためには、電子文書の作成名義人の意思に基づいた電子署名が必要です。
サービスを選択する際には、利用者の身元確認の有無、水準、方法、なりすましの防御レベルなどを考慮する必要があります。契約の重要性や金額、必要な身元確認レベルに応じて、適切なサービスを選ぶことが重要です。
今回の改正の内容
今回は、この内容にさらに追記が行われました。
追記または新規の条文として以下の内容が追加されています。
問2(追記):
電子契約サービスが十分な固有性を満たすためには、プロセス①(利用者とサービス提供事業者の間で行われるプロセス)とプロセス②(利用者の行為を受けてサービス提供事業者内部で行われるプロセス)の両方が十分な水準を満たしている必要があります。
プロセス①において、十分な固有性を満たす例として2要素認証が追記されました。
プロセス②では、サービス提供事業者内部の措置(暗号の強度や利用者ごとの個別性を保証する仕組み)が追記されました。
問4(新規作成):
電子文書の作成名義人の意思に基づいた電子署名が行われたことを立証する際の、作成名義人と利用者の同一性の証明の水準、電子契約サービスにおける身元確認の水準や方法、なりすまし等の防御レベルがどの程度要求されるかについて、裁判所の判断に委ねられるべき事項とされています。
問5(問4からの移動&追記):
旧問4から問5への移動とともに、身元確認の水準や防御レベルが低い場合、実際の裁判において電子文書の真正な成立を推定するのに不十分である可能性があることが追記されました。
各サービスの利用に当たっては、契約等の重要性の程度や金額を考慮し、適切なサービスを慎重に選択する必要があるとの修正が加えられました。
問6(新規作成):
電子文書の成立の真正は、電子署名法第3条の推定効のみによって判断されるものではなく、裁判所の自由な心証による判断が行われることが明記されています。
身元確認が初期段階で高い水準で行われていなかった場合でも、証拠等が提出できれば、それらも電子文書の成立の真正の有効な立証手段となる可能性があることが説明されています。
今回の追記の意義
これらの追記と新規作成された部分は、電子契約サービスの法的な基準や要件に関するより詳細な情報を提供し、その運用における裁判所の役割と重要性を強調しています。
今後、電子契約が利用が進んでいく中で、係争事案も出てくると思いますが、もし係争が発生しても、適切な対応ができるように、利便性だけでなく、きちんと電子署名法3条の要件を満たせるような「セキュリティ」(ここでは「本人が確かに署名をして、書類を作成(=内容を承認)していること) をどう担保するかを、社内及び専門家・コンサルタントと相談して、当事者型と事業者型を使い分けることが重要だと思います。
この記事が気に入ったらサポートをしてみませんか?